No concurso de hackers Pwn2Own Vancouver de 2022, pesquisadores de segurança conseguiram hackear o Ubuntu Desktop e o Windows 11. Após o primeiro e o segundo dia, no dia 3, mais três explorações de dia zero foram usadas com sucesso por pesquisadores de segurança para hackear o sistema operacional Windows 11 da Microsoft no terceiro e último dia do concurso.
A primeira tentativa do dia do Team DoubleDragon de explorar o Microsoft Teams falhou porque eles não conseguiram demonstrar sua exploração dentro do tempo permitido pela Microsoft. Embora nem tudo esteja perdido, porque a ZDI foi capaz de incorporar a pesquisa da Equipe Double Dragon nos procedimentos padrão.
Os outros concorrentes derrubaram com sucesso o Windows 11 por três vezes e o Ubuntu Desktop por uma vez também, ganhando US $ 160.000 (pouco mais de R$ 766 mil).
No Twitter, a Iniciativa Dia Zero escreveu: “Confirmado! Billy Jheng Bing-Jhong (@st424204) da STAR Labs demonstrou com sucesso uma vulnerabilidade Use-After-Free no Ubuntu Desktop, rendendo $ 40K com 4 MoP. #Pwn2Own #P2O15“.
Exploração das vulnerabilidades do Windows e do Ubuntu Linux
Foi demonstrado que o nghiadt12 da Viettel Cyber Security foi capaz de explorar uma vulnerabilidade no Windows 11 para obter privilégios elevados. Por sua vez, eles receberam uma recompensa de $40.000 (aprox. R$191,6 mil) com 4 pontos Master of Pwn como recompensa por sua execução.
No Ubuntu Desktop, uma exploração Use-After-Free foi demonstrada por Billy Jheng Bing-Jhong do STAR Labs (@st424204). Seu domínio das capacidades do Pwn lhe rendeu outros $40.000 (aprox. R$ 191,6 mil), com mais quatro pontos Master.
Por meio de um mecanismo de controle de acesso implementado incorretamente no Microsoft Windows 11, o vinhthp1712 alcançou a Elevação de Privilégio. Foi confirmado que vinhthp1712 recebeu $40.000 (aprox. R$ 191,6 mil) e 4 pontos Master of Pwn.
O GBHackers aponta que, além disso, Bruno PUJOS da REverse Tactics alcançou a Elevação de Privilégios utilizando a exploração Use-After-Free no Microsoft Windows 11 durante a tentativa final da competição, rendendo-lhe $40.000 (aprox. R$ 191,6 mil), além de 4 pontos Master of Pwn.
O evento de programação regularmente agendado, Pwn2Own concluiu com esta sessão final. O número total de tentativas este ano foi de 21 de 17 concorrentes diferentes, com Trend Micro e ZDI concedendo US$ 1.155.000 (aprox. R$ 5,5 milhões) ao vencedor.
Se observarmos pela ótica de que, se exploradas, essas vulnerabilidades poderiam fazer um verdadeiro estrago, o prêmio final do evento acaba se tornando bem pequeno.
Via: GBHackers